ICS35030

CCSL.80

團(tuán)體標(biāo)準(zhǔn)

T/CIQA39—2022

檢驗(yàn)檢測(cè)機(jī)構(gòu)網(wǎng)絡(luò)安全工作指南

Guidelinesoncybersecurityofinspectionandtestinginstitutions

2022-07-08發(fā)布2022-09-01實(shí)施

中國(guó)出入境檢驗(yàn)檢疫協(xié)會(huì)發(fā)布

T/CIQA39—2022

目次

前言

…………………………Ⅲ

引言

…………………………Ⅳ

范圍

1………………………1

規(guī)范性引用文件

2…………………………1

術(shù)語(yǔ)和定義

3………………1

縮略語(yǔ)

4……………………3

網(wǎng)絡(luò)安全工作方法

5………………………3

概述

5.1…………………3

網(wǎng)絡(luò)安全工作方法在檢驗(yàn)檢測(cè)機(jī)構(gòu)的應(yīng)用

5.2………3

網(wǎng)絡(luò)安全工作任務(wù)

6………………………6

通則

6.1…………………6

網(wǎng)絡(luò)安全等級(jí)保護(hù)

6.2…………………6

商用密碼應(yīng)用安全性評(píng)估

6.3…………7

個(gè)人信息合規(guī)審計(jì)

6.4…………………8

網(wǎng)絡(luò)安全審查

6.5………………………8

關(guān)鍵信息基礎(chǔ)設(shè)施安全風(fēng)險(xiǎn)評(píng)估

6.6…………………9

業(yè)務(wù)連續(xù)性管理體系認(rèn)證

6.7(BCMS)………………9

信息安全管理體系認(rèn)證

6.8(ISMS)…………………10

隱私管理體系認(rèn)證

6.9(PIMS)………………………10

數(shù)據(jù)安全管理認(rèn)證

6.10………………10

附錄資料性網(wǎng)絡(luò)安全法定義務(wù)識(shí)別指南

A()…………12

參考文獻(xiàn)

……………………16

Ⅰ

T/CIQA39—2022

前言

本文件按照標(biāo)準(zhǔn)化工作導(dǎo)則第部分標(biāo)準(zhǔn)化文件的結(jié)構(gòu)和起草規(guī)則的規(guī)定

GB/T1.1—2020《1:》

起草

。

請(qǐng)注意本文件的某些內(nèi)容可能涉及專利本文件的發(fā)布機(jī)構(gòu)不承擔(dān)識(shí)別專利的責(zé)任

。。

本文件由中國(guó)出入境檢驗(yàn)檢疫協(xié)會(huì)檢驗(yàn)鑒定標(biāo)準(zhǔn)化技術(shù)委員會(huì)提出并歸口

(CIQA/TC1)。

本文件起草單位北京時(shí)代新威信息技術(shù)有限公司華測(cè)檢測(cè)認(rèn)證集團(tuán)股份有限公司中理檢驗(yàn)有

:、、

限公司青島海檢集團(tuán)有限公司力鴻檢驗(yàn)集團(tuán)有限公司嘉德信大連檢驗(yàn)測(cè)試科技有限公司中國(guó)檢

、、、()、

驗(yàn)認(rèn)證集團(tuán)上海有限公司中國(guó)電子科技集團(tuán)公司第十五研究所信息產(chǎn)業(yè)信息安全測(cè)評(píng)中心中國(guó)出

、()、

入境檢驗(yàn)檢疫協(xié)會(huì)進(jìn)出口商品檢驗(yàn)鑒定機(jī)構(gòu)分會(huì)

。

本文件主要起草人王新杰王連強(qiáng)楊玉忠俞政臣杜云浩王亞濤譚新星王勛龍費(fèi)楊潔

:、、、、、、、、、

童連松楊毅劉健張琳

、、、。

Ⅲ

T/CIQA39—2022

引言

網(wǎng)絡(luò)安全風(fēng)險(xiǎn)是檢驗(yàn)檢測(cè)機(jī)構(gòu)在開展檢驗(yàn)檢測(cè)認(rèn)證等業(yè)務(wù)過(guò)程中的重大風(fēng)險(xiǎn)之一如果不能有

、、。

效地管理和控制網(wǎng)絡(luò)安全風(fēng)險(xiǎn)將導(dǎo)致檢驗(yàn)檢測(cè)機(jī)構(gòu)的數(shù)據(jù)泄露業(yè)務(wù)中斷客戶投訴等重大損失甚至

,、、,

還會(huì)帶來(lái)法律責(zé)任受到民事或刑事處罰

,。

選擇正確的網(wǎng)絡(luò)安全工作方法是檢驗(yàn)檢測(cè)機(jī)構(gòu)做好網(wǎng)絡(luò)安全工作的基礎(chǔ)本文件第章提出了

,。5

檢驗(yàn)檢測(cè)機(jī)構(gòu)網(wǎng)絡(luò)安全工作方法的建議為檢驗(yàn)檢測(cè)機(jī)構(gòu)提供參考這個(gè)方法包括建立網(wǎng)絡(luò)安全工作

,。

的目標(biāo)識(shí)別和確定網(wǎng)絡(luò)安全要保護(hù)的對(duì)象開展網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評(píng)估以及根據(jù)風(fēng)險(xiǎn)評(píng)估結(jié)果選擇和建

,,,

設(shè)網(wǎng)絡(luò)安全控制措施

。

履行網(wǎng)絡(luò)安全的法律責(zé)任和法定義務(wù)是檢驗(yàn)檢測(cè)機(jī)構(gòu)網(wǎng)絡(luò)安全工作的重要內(nèi)容截至目前我國(guó)

,。,

已經(jīng)頒布實(shí)施的網(wǎng)絡(luò)安全法律法規(guī)包括中華人民共和國(guó)網(wǎng)絡(luò)安全法中華人民共和國(guó)密碼法中華

《》《》《

人民共和國(guó)數(shù)據(jù)安全法中華人民共和國(guó)個(gè)人信息保護(hù)法網(wǎng)絡(luò)安全審查辦法和關(guān)鍵信息基礎(chǔ)設(shè)施

》《》《》《

安全保護(hù)條例等

》。

本文件第章從檢驗(yàn)檢測(cè)機(jī)構(gòu)應(yīng)承擔(dān)的網(wǎng)絡(luò)安全法律責(zé)任入手提出了檢驗(yàn)檢測(cè)機(jī)構(gòu)應(yīng)該開展的

6,

具體網(wǎng)絡(luò)安全工作如網(wǎng)絡(luò)安全等級(jí)保護(hù)商用密碼應(yīng)用安全性評(píng)估數(shù)據(jù)安全保護(hù)個(gè)人信息保護(hù)網(wǎng)

,、、、、

絡(luò)安全審查和關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)等并提出了開展這些工作內(nèi)容的具體方法和步驟為檢驗(yàn)檢測(cè)機(jī)

,,

構(gòu)提供參考

。

網(wǎng)絡(luò)安全是一項(xiàng)專業(yè)性很強(qiáng)的工作并非所有的組織都具有滿足其網(wǎng)絡(luò)安全工作要求的網(wǎng)絡(luò)安全

,

能力具有一定網(wǎng)絡(luò)安全專業(yè)能力的檢驗(yàn)檢測(cè)機(jī)構(gòu)可以通過(guò)自身力量開展和落實(shí)上述具體網(wǎng)絡(luò)安全

。,

工作網(wǎng)絡(luò)安全專業(yè)能力不足的檢驗(yàn)檢測(cè)機(jī)構(gòu)可以通過(guò)采購(gòu)專業(yè)網(wǎng)絡(luò)安全服務(wù)的方式來(lái)實(shí)現(xiàn)其網(wǎng)絡(luò)

。,

安全目標(biāo)履行其網(wǎng)絡(luò)安全責(zé)任

,。

Ⅳ

T/CIQA39—2022

檢驗(yàn)檢測(cè)機(jī)構(gòu)網(wǎng)絡(luò)安全工作指南

1范圍

本文件提供了檢驗(yàn)檢測(cè)機(jī)構(gòu)開展網(wǎng)絡(luò)安全工作的指南描述了檢驗(yàn)檢測(cè)機(jī)構(gòu)開展網(wǎng)絡(luò)安全工作的

,

方法規(guī)定了檢驗(yàn)檢測(cè)機(jī)構(gòu)必須開展和選擇開展的網(wǎng)絡(luò)安全工作任務(wù)

,。

本文件適用于任何類型任何規(guī)模的檢驗(yàn)檢測(cè)機(jī)構(gòu)的網(wǎng)絡(luò)安全工作

、。

2規(guī)范性引用文件

下列文件中的內(nèi)容通過(guò)文中的規(guī)范性引用而構(gòu)成本文件必不可少的條款其中注日期的引用文

。,

件僅該日期對(duì)應(yīng)的版本適用于本文件不注日期的引用文件其最新版本包括所有的修改單適用于

,;,()

本文件

。

信息安全技術(shù)信息安全風(fēng)險(xiǎn)評(píng)估規(guī)范

GB/T20984

信息技術(shù)安全技術(shù)信息安全管理體系要求

GB/T22080

信息技術(shù)安全技術(shù)信息安全控制實(shí)踐指南

GB/T22081

信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求

GB/T22239

信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)定級(jí)指南

GB/T22240

公共安全業(yè)務(wù)連續(xù)性管理體系要求

GB/T30146

公共安全業(yè)務(wù)連續(xù)性管理體系指南

GB/T31595

信息安全技術(shù)個(gè)人信息安全規(guī)范

GB/T35273

信息安全技術(shù)信息系統(tǒng)密碼應(yīng)用基本要求

GB/T39786

ISO/IEC27701:2019Securitytechniques—ExtensiontoISO/IEC27001andISO/IEC27002for

privacyinformationmanagement—Requirementsandguidelines

3術(shù)語(yǔ)和定義

下列術(shù)語(yǔ)和定義適用于本文件